Last Updated on 2025-06-01 16:15 by admin
BitMEXの暗号通貨取引所セキュリティチームが、北朝鮮政府支援のサイバー犯罪ネットワークLazarus GroupによるLinkedInを使ったフィッシング攻撃を阻止し、カウンター作戦調査を実施した。
LinkedInを通じてNFTマーケットプレイスプロジェクトの協力を装った攻撃者が従業員を標的としたが、従業員がセキュリティチームに報告し被害を防いだ。
調査により、少なくとも1人のハッカーが誤って真のIPアドレスを露出させ、実際の所在地が中国嘉興市であることが判明した。
BitMEX研究者らは、ハッキンググループが使用していたSupabaseデータベースのインスタンスへのアクセスにも成功し、マルウェア開発とテストに関連する少なくとも10のアカウントを特定した。
分析では、疑いを持たない被害者を悪意あるソフトウェアのダウンロードに誘導する低技術ソーシャルエンジニアリングチームと、高度なコード悪用を開発するハイテクハッカーとの間に技術格差があることが明らかになった。
この非対称性は、北朝鮮国家関連ハッキング組織が異なる脅威能力レベルを持つ別々のサブグループに分裂していることを示している。
From: 
BitMEX uncovers holes in Lazarus Group’s operational security
【編集部解説】
今回のBitMEXによるLazarus Group調査は、サイバーセキュリティ業界において極めて重要な意味を持つ事例です。これまで北朝鮮のハッキンググループは「見えない敵」として恐れられてきましたが、BitMEXが実施したカウンター作戦により、その内部構造と脆弱性が初めて具体的に明らかになりました。
特に注目すべきは、攻撃の入り口となったLinkedInでのソーシャルエンジニアリング手法です。NFTマーケットプレイスプロジェクトという、Web3業界では一般的な協力案件を装うことで、標的の警戒心を下げる巧妙な手口が使われていました。しかし、BitMEXの従業員が適切にセキュリティチームに報告したことで、攻撃を防ぐだけでなく、逆に攻撃者の情報を収集する機会に転換できたのです。
Lazarus Groupが単一の組織ではなく、技術レベルの異なる複数のサブグループに分裂している実態の発見は、従来の脅威分析を根本的に見直す必要性を示しています。低技術のソーシャルエンジニアリングチームと高度な技術を持つハッカーグループの間に存在する「技術格差」は、防御戦略を立てる上で重要な知見となります。
中国・嘉興市からの真のIPアドレス露出は、国家支援ハッキンググループでも基本的な運用セキュリティで失敗することを示しています。VPNの使用忘れという初歩的なミスは、どれほど高度な組織でもヒューマンエラーが発生することを物語っており、防御側にとって希望的な発見といえるでしょう。
Supabaseデータベースへの不正アクセス成功により、マルウェア開発とテストに関連する少なくとも10のアカウントが特定されたことは、攻撃者のインフラを逆利用した画期的な事例です。これにより感染ログ、地理的位置情報、活動時間帯などの貴重な情報が取得され、今後の防御戦略立案に大きく貢献することになります。
この事件が暗号通貨業界に与える影響は多面的です。ポジティブな側面として、適切なセキュリティ教育と迅速な報告体制があれば、国家支援ハッキンググループの攻撃も防げることが実証されました。一方で、Lazarus Groupが継続的に暗号通貨関連企業を標的としている事実は、業界全体の脅威レベルの高さを改めて浮き彫りにしています。
規制面では、日本の警察庁、金融庁、内閣サイバーセキュリティセンターが2024年10月と12月に連続して注意喚起を発したことが示すように、国際的な協調体制構築の必要性が高まっています。各国政府の連携強化は、従来の個別対応から多国間連携へのシフトを意味しており、今後の規制強化につながる可能性があります。
長期的視点では、この事例が他の取引所や暗号通貨企業にとって重要な学習機会となることが期待されます。受動的な防御から能動的な脅威ハンティングへの転換は、業界全体のセキュリティレベル向上に寄与するでしょう。
【用語解説】
Lazarus Group(ラザルス・グループ):
北朝鮮政府と関連があるとされるハッカー集団で、2009年頃から活動が確認されている。主に金融機関や暗号通貨取引所を標的とし、国家財政サポートを目的とした不正な資金獲得を行っている。2016年のバングラデシュ中央銀行から8,100万ドルの窃取事件でも知られる。
ソーシャルエンジニアリング:
コンピュータシステムにアクセスするために必要な情報を、人間の行動や心理に生じる隙を利用して盗み取る手法の総称。技術的な攻撃ではなく、人的要因を狙った攻撃手法である。
IPアドレス:
インターネットなどのIPネットワークに接続された個別のネットワークや機器を識別するための識別番号。データの宛先の指定や送信元の特定などに用いられる。
VPN(Virtual Private Network):
インターネット上に仮想的なプライベートネットワークを構築し、安全にデータを送受信するための技術。通信データを暗号化し、一種の「トンネル」を作り出すことで動作する。
TraderTraitor:
Lazarus Groupの一部とされるサブグループで、2024年12月に日本の警察庁、金融庁、内閣サイバーセキュリティセンターが注意喚起を発した北朝鮮関連の攻撃グループ。
【参考リンク】
BitMEX公式サイト(外部)
世界最大級のビットコインデリバティブ取引所。最大100倍のレバレッジ取引が可能で、業界最先端のセキュリティを提供している。
Supabase公式サイト(外部)
オープンソースのフルスタックデータベースシステム。PostgreSQLとRealtimeなAPIを提供し、Firebaseの代替として人気が高い開発プラットフォーム。
内閣サイバーセキュリティセンター(NISC)
(外部)日本政府のサイバーセキュリティ政策を統括する組織。Lazarus Groupに関する注意喚起や対策情報を定期的に発信している。
警察庁サイバー犯罪対策(外部)
日本の警察庁によるサイバー犯罪対策の公式ページ。北朝鮮関連のサイバー攻撃に関する最新の注意喚起を掲載している。
【編集部後記】
今回のBitMEXの事例は、サイバーセキュリティの世界で「守る側」が「攻める側」に対して積極的に反撃した画期的なケースです。皆さんの職場でも、LinkedInなどのビジネスSNSを通じた怪しい協力依頼や求人オファーに遭遇した経験はありませんか?もしそのような場面で「これは攻撃かもしれない」と気づいたとき、どのような対応を取られているでしょうか。受動的な防御から能動的な脅威調査への転換は、企業規模に関わらず重要な視点かもしれません。皆さんの組織では、セキュリティインシデントをどのように活用していますか?
【参考記事】
BitMEX、ラザルスグループのハッキング未遂を阻止=メンバー情報暴露 – BeInCrypto Japan(外部)
今回の事件について、BitMEXが「Bチーム」レベルのハッカーを打ち負かしたに過ぎないという分析を含む詳細記事。
北朝鮮のラザルスグループと関係のあるLinkedIn詐欺、BitMEXを標的に – Finance Feeds(外部)
LinkedInを使った具体的な攻撃手法と、BitMEXのマルウェア解析結果について詳しく解説している記事。
北朝鮮のハッカー集団 Lazarus(ラザルス)とは?攻撃手法や日本での被害事例 – Rocket Boys(外部)
Lazarus Groupの歴史、攻撃手法、日本での被害事例について包括的に解説した記事。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
